CMCC 认证绕过 POC

103 天前
 CC11001100

仓库地址: https://github.com/wireless-sec/cmcc-bypass-poc

在此处备份一下大学的时候发现过的一个 CMCC 的漏洞,已经是一个过时的漏洞,谨以此纪念。

原理就是 CMCC 刚连接上去的时候会有一瞬间不需要认证就能上网(大概十年前,2013 年左右的时候),所以就用脚本来一直不断的模拟连接、断开,试图去嫖那刚连接上一瞬间的流量积少成多,打开网页,看看视频啥的问题不大,我们几个屌丝靠这个洞渡过不少交不起网费的日子,哈哈哈。

备份自: https://www.cnblogs.com/cc11001100/p/8100247.html

大学的时候无意间发现绕过 CMCC 验证的方法(贫穷使人进步...),写了段 POC 脚本,时过两年,漏洞应该已经失效了(我猜 --),刚刚发现有人私信问我要,都那么久了鬼还记得写的什么啊,但确实看到了又不能当做没看到,只好在以前电脑翻了一阵,想了一下,还是贴在这里备份一下,毕竟我也是发现过漏洞的男人....

作用为连接 CMCC 无需验证即上网,缺陷是这样得到的网络并不稳定,其实挺鸡肋的,语言为 Windows 下的脚本语言 bat:

@echo off
title FREE LUNCH
:loop   
 
    cls
 
    REM 丧心病狂的转义符
    ^e^c^h^o^.
    ^e^c^h^o^ ^ ^ ^ ^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o
    ^e^c^h^o^ ^ ^ ^ ^o^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^o
    ^e^c^h^o^ ^ ^ ^ ^o^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^o
    ^e^c^h^o^ ^ ^ ^ ^o^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^o
    ^e^c^h^o^ ^ ^ ^ ^o^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^o
    ^e^c^h^o^ ^ ^ ^ ^o^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^.^-^~^~^~^~^-^.^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^o
    ^e^c^h^o^ ^ ^ ^ ^o^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^/^ ^_^_^ ^ ^ ^ ^ ^\^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^o
    ^e^c^h^o^ ^ ^ ^ ^o^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^|^ ^/^ ^ ^\^ ^ ^/^ ^ ^`^~^~^~^~^~^-^.^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^o
    ^e^c^h^o^ ^ ^ ^ ^o^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^|^|^ ^ ^ ^ ^|^ ^ ^0^ ^ ^ ^ ^ ^ ^ ^ ^ ^@^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^o
    ^e^c^h^o^ ^ ^ ^ ^o^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^|^|^ ^ ^ ^ ^|^ ^ ^_^.^ ^ ^ ^ ^ ^ ^ ^ ^|^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^o
    ^e^c^h^o^ ^ ^ ^ ^o^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^\^|^ ^ ^ ^ ^|^ ^ ^ ^\^ ^ ^ ^ ^ ^ ^ ^/^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^o
    ^e^c^h^o^ ^ ^ ^ ^o^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^\^ ^ ^ ^ ^/^ ^ ^/^`^~^~^~^~^~^~^`^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^o
    ^e^c^h^o^ ^ ^ ^ ^o^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^(^'^-^-^'^"^"^`^)^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^o
    ^e^c^h^o^ ^ ^ ^ ^o^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^/^`^"^"^"^"^"^`^\^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^o
    ^e^c^h^o^ ^ ^ ^ ^o^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^o
    ^e^c^h^o^ ^ ^ ^ ^o^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^o
    ^e^c^h^o^ ^ ^ ^ ^o^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^o
    ^e^c^h^o^ ^ ^ ^ ^o^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^假^装^世^界^很^美^好^,^然^后^为^之^奋^斗^ ^ ^ ^ ^ ^ ^ ^o
    ^e^c^h^o^ ^ ^ ^ ^o^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^o
    ^e^c^h^o^ ^ ^ ^ ^o^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^-^-^-^-^-^-^-^-^ ^b^y^ ^c^c^ ^ ^ ^o
    ^e^c^h^o^ ^ ^ ^ ^o^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^o
    ^e^c^h^o^ ^ ^ ^ ^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o
 
    REM the core code
    ipconfig /release >> nul
    ipconfig /renew >> nul
    ping 127.0.0.1 -n 8 >> nul
     
goto :loop
 
REM hack by cc
REM 2016-5-8 11:26:1

效果演示视频地址: http://v.youku.com/v_show/id_XMTYwMTU2ODU0OA==.html

仓库地址: https://github.com/wireless-sec/cmcc-bypass-poc

1186 次点击
所在节点    分享发现
8 条回复
kuanat
103 天前
厉害啊哈哈
CC11001100
103 天前
@kuanat 哈哈哈谢谢老哥,不过我至今也没搞明白是啥原理,只是无意间发现这样可以。。。捂脸。。。🙈
kuanat
103 天前
@CC11001100 #2

盲猜一下,估计是那个认证服务器不在内网里,所以要给一段时间让你能够打开那个认证页面,2016 年那些系统还不成熟。

一般这种 captive portal 在出口处的防火墙默认阻止所有 ip 访问(非 mac ),通过认证的就让防火墙放行。然后一般为了减轻防火墙负担,已经建立的连接后续数据包就直接放行了。

反复 release/renew 让你的设备在系统看来是新设备加入,清空了之前防火墙记录,你的访问( dns 请求,发起连接)能在系统预设的时间里发起,流量就能通过。

现在的系统基本上都是绑定到 mac ,比如星巴克用的,你可以跨店免认证接入。再就是认证服务器处于内网,通过旁路连接到中央计费后台。这样就没办法流量偷跑了。
x86
103 天前
当年宿舍 晚上 11 点断网,硬是靠买 cmcc 账号熬过去了
zhangyoucaiyo
102 天前
想起来上大学的时候,校园网计费系统用的 DR 。每天晚上 11 点准时断网,会跳转到认证页面。学生账号晚上不允许登录认证,教师账号不影响。然后发现 53 端口是没有限制的。然后全宿舍合资买了当时网易的云服务器,ss 端口放在 53 ,愉快的度过了一个又一个晚上。
qq135449773
102 天前
好久没看到过 cmcc 的 wifi 了,移动这个业务是不是已经停掉了?
michael00500011
102 天前
@qq135449773 CMCC wifi 业务当时是因为 3g tds 实在是烂的够瞧,上网困难,于是开 wifi 业务勉强维持高密度地区覆盖(机场火车站学校等),不然别的运营商都能上网移动只能 GPRS 卡死,所以 4g 牌照发放以后,这个业务就不再继续投入了
CC11001100
101 天前
@zhangyoucaiyo 哈哈哈你们真机智,53 端口估计寻思着留着 DNS 解析呢结果被钻了空子啦

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1050350

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX